Actualizado el 02/10/2025
Actualizado el 02/10/2025
Alianza de grupos de ciberespionaje rusos para atacar entidades ucranianasEscrito por Redacción TNI el 30/09/2025 a las 19:42:56250
 ESET Research ha descubierto los primeros casos conocidos de colaboración entre Gamaredon y Turla. Ambos grupos de amenazas están asociados a la principal agencia de inteligencia rusa, el FSB, y actuaron de forma coordinada contra objetivos de alto perfil en Ucrania. En las máquinas afectadas, Gamaredon desplegó un amplio conjunto de herramientas y, en una de esas máquinas, Turla llegó a emitir comandos a través de implantes de Gamaredon.
“En lo que va de año, ESET ha detectado a Turla en siete máquinas en Ucrania. Dado que Gamaredon compromete cientos o incluso miles de equipos, esto sugiere que Turla solo está interesada en máquinas concretas, probablemente aquellas que contienen datos de inteligencia altamente confidenciales”, señala Matthieu Faou, investigador de ESET que descubrió la colaboración entre Turla y Gamaredon en cooperación con el investigador de ESET Zoltán Rusnák.
Cabe destacar que, en febrero de 2025, ESET Research detectó la ejecución de la puerta trasera Kazuar de Turla mediante PteroGraphin y PteroOdd de Gamaredon en una máquina en Ucrania. PteroGraphin se utilizó para reiniciar Kazuar v3, posiblemente tras un fallo o porque no se lanzó automáticamente. Así, PteroGraphin probablemente se empleó como método de recuperación por parte de Turla. Es la primera vez que se logra vincular técnicamente a estos dos grupos. En abril y junio de 2025, ESET detectó que Kazuar v2 fue desplegado utilizando las herramientas de Gamaredon PteroOdd y PteroPaste.
Kazuar v3 es la última rama de la familia Kazuar, un implante de espionaje avanzado en C# que ESET considera de uso exclusivo por parte de Turla. Se observó por primera vez en 2016. Otros códigos maliciosos desplegados por Gamaredon fueron PteroLNK, PteroStew y PteroEffigy.
“Gamaredon es conocido por utilizar spearphishing (phishing dirigido) y archivos LNK maliciosos en unidades extraíbles. Por lo tanto, alguno de estos vectores es, muy probablemente, el usado para el compromiso. Creemos, con un alto nivel de confianza, que ambos grupos – vinculados por separado al FSB – están cooperando y que Gamaredon está proporcionando el acceso inicial a los sistemas objetivos a Turla”, afirma Rusnák.
Tal como se ha mencionado, ambos forman parte del FSB ruso. Según el Servicio de Seguridad de Ucrania, se cree que Gamaredon está operado por oficiales del Centro 18 del FSB (también llamado Centro de Seguridad de la Información) en Crimea, que forma parte del servicio de contrainteligencia del FSB. En cuanto a Turla, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) atribuye el grupo al Centro 16 del FSB, la principal agencia rusa de inteligencia de señales.
Desde una perspectiva organizativa, cabe señalar que las dos entidades comúnmente asociadas a Turla y Gamaredon tienen una larga historia de colaboración documentada, que se remonta a la Guerra Fría. La invasión a gran escala de Ucrania en 2022 probablemente reforzó esta convergencia, y los datos de ESET muestran con claridad que las actividades de Gamaredon y Turla se han centrado en el sector de defensa ucraniano en los últimos meses.
Gamaredon está activo al menos desde 2013 y es responsable de numerosos ataques, principalmente contra instituciones gubernamentales ucranianas. Turla, también conocido como Snake, es un grupo de ciberespionaje de gran notoriedad activo desde al menos 2004, posiblemente desde finales de la década de 1990. Se enfoca en objetivos de alto perfil, como gobiernos y entidades diplomáticas, en Europa, Asia Central y Oriente Medio. Es conocido por haber vulnerado grandes organizaciones, como el Departamento de Defensa de EE. UU. en 2008 y la empresa suiza de defensa RUAG en 2014.
Para un análisis más detallado y un desglose técnico de las interacciones entre Turla y Gamaredon, consulta el último blogpost de ESET: “Gamaredon X Turla collab” en WeLiveSecurity.com. Sigue a ESET Research en X, BlueSky y Mastodon para estar al día de las últimas novedades del grupo de investigación de ESET.
Noticias Relacionadas:Los ciberdelincuentes no se van de vacaciones Los proveedores de Internet para distribuir software espía a gran escala |
